Sie sind hier: Home » Aktuelle Meldungen » Meldung
Meldung Nr: RUS-CERT-1507

[MS/SAP GUI] Schwachstelle in SAP GUI 6.40 und 7.10
(2009-01-13 20:53:00.705173+00) Druckversion

Quelle: http://secunia.com/secunia_research/2008-53/

Eine Schwachstelle in der SAP Client-Software SAP GUI unter Microsoft Betriebssystemen kann von einem Angreifer dazu ausgenutzt werden, beliebigen Programmcode auf dem beherbergenden System auszuführen.

Inhalt

Zusammenfassung

Betroffen: SAP GUI
Plattform: Microsoft
Einfallstor: ActiveX-Control sizerone.ocx
Angriffsvoraussetzung:server oder network
Angriffsvektorklasse: local/remote
Auswirkung: system compromise
Typ: Pufferüberlaufschwachstelle
Gefahrenpotential: sehr hoch
Workaround: bedingt
Gegenmaßnahmen: neue Version
Vulnerability ID: CVE-2008-4827

Betroffene Systeme

  • SAP GUI 6.40 Patch 29
  • SAP GUI 7.10
Jeweils unter Microsoft Betriebssystemen

Nicht betroffene Systeme

  • SAP GUI 7.10 PL

Einfallstor

  • ActiveX-Control sizerone.ocx

Angriffsvoraussetzung

  • Zugriff auf den angefragten SAP-Server
    (server)
  • oder
  • Möglichkeit, einer SAP GUI Daten zuzusenden, die vermeintlich vom Server kommen
    (network)

Angriffsvektorklasse

  • lokal auf dem Server
    (d.h. im Sinne des gesamten SAP-Systems: local)
  • über eine Netzwerkverbindung
    (remote)

Auswirkung

  • Ausführung beliebigen Programmcodes auf dem beherbergenden System
    (system compromise)

Typ der Verwundbarkeit

  • Pufferüberlaufschwachstelle
    (buffer overflow bug)

Gefahrenpotential

  • aus rein technischer Sicht ist das Gefahrenpotential
    sehr hoch

(Hinweise zur Einstufung des Gefahrenpotentials.)

Bedrohungspotential

Je nach Konfiguration des Systems ist es erforderlich, bereits den SAP-Server unter Kontrolle zu haben oder entsprechende Daten in den Kommunikationsstrom zwischen SAP-Server und SAP GUI einzuschleusen, um das die SAP GUI beherbergende Betriebssystem kompromittieren zu können.
  • In ersterem Falle ist der vermutlich sehr viel wichtigere Teil des SAP-Gesamtsystems bereits kompromittiert und die subsequente Kompromittierung von Klientensystemen ein eher nachrangiges Problem. Daher ist das Bedrohungspotential für diesen Fall als
    • mittel
    einzustufen.
  • Im zweiten Fall ist entweder ein drittes System kompromittert, von dem aus Daten in die Kommunikationsbeziehung zwischen SAP GUI und dem zugehörigen SAP-Server eingeschleust werden können oder die Kommunikationsbeziehung ist leicht angreifbar, weil sie z.B. ohne kryptographisch starke Verschlüsselung implementiert wurde. In diesem Fall ist das Bedrohungspotential als
    • sehr hoch
    einzustufen.

Beschreibung

Eine Schwachstelle im ActiveX-Control sizerone.ocx, das von der SAP-Client-Software SAP GUI auf Windows Betriebssystemen genutzt wird, kann von Angreifer dazu ausgenutzt werden, beliebigen Programmcode auf dem beherbergenden System mit administrativen Privilegien auszuführen. Das beherbergende System ist dabei das System, auf dem die SAP GUI installiert ist, nicht der SAP Server.
Zur erfolgreichen Ausnutzung der Schwachstelle muss ein Angreifer in der Lage sein, Daten an ein betroffenes System zu senden. Diese Daten enthalten AddTab()-Anweisungen und Schadcode in speziell präparierter Weise.

Da die SAP GUI im Normalfall nur mit einem fest konfigurierten SAP-Server kommuniziert, muss diese Kommunikationsbeziehung angegriffen werden. Sofern der Angreifer den SAP-Server unter Kontrolle hat, ist dies trivial, jedoch ist in diesem Falle die Ausnutzung der hier beschriebenen Schwachstelle eher nachrangig.

Sofern die Kommunikationsbeziehung nicht durch kryptographische Methoden und andere Maßnahmen (private Netze, Firewalls) abgesichert wird, ist es ausreichend, wenn der Angreifer in der Lage ist, entsprechende Daten an eine betroffene SAP GUI zu senden und dabei entsprechende Absenderdaten zu fälschen. Eine Antwort auf demselben Kanal ist nicht erforderlich.

Workaround

  • Setzen der entsprechenden Kill-Bits in der Registry eines betroffenen Systems, um das verwundbare Control zu deaktivieren; SAP stellt für registrierte Kunden hierfür eine Beschreibung bereit.
  • Verwendung kryptographisch starker Methoden zur Absicherung der Kommunikation zwischen SAP-Server und SAP GUI
  • Verwendung weiterer Methoden zur Absicherung der Kommunikation zwischen SAP-Server und SAP GUI, z.B.:
Diese Maßnahmen beheben die Schwachstelle nicht, sie schränken lediglich den Kreis potentieller Angreifer ein.

Gegenmaßnahmen

  • Installation von SAP GUI 7.10 PL

Vulnerability ID

Revisionen dieser Meldung

  • V 1.0 (2008-01-13)
  • V 1.1 (2008-01-14)
    • Meldung überarbeitet
(og)

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2017 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/

Vorherige Meldung Weitere Meldungen... Nächste Meldung

Bitte lesen Sie auch die Grundsätze, nach denen das RUS-CERT Tickermeldungen veröffentlicht. Der regelmäßige Bezug von Tickermeldungen über E-Mail und RSS-Feed ist ebenfalls möglich.